Wymagania dotyczące inspekcji — program zaufanego certyfikatu głównego firmy Microsoft

Na tej stronie przedstawiono wymagania dotyczące urzędów certyfikacji(CA), które uczestniczą w programie zaufanego certyfikatu głównego firmy Microsoft ("Program") wraz z wymaganiami dotyczącymi używania poszczególnych jednostek EKU, które obecnie obsługuje firma Microsoft w ramach programu zaufanego certyfikatu głównego firmy Microsoft.

Poniżej znajdziesz wymagania dotyczące zarówno komercyjnych urzędów certyfikacji, jak i urzędów certyfikacji dla instytucji rządowych, wraz z informacjami na temat tego, co stanowi urząd certyfikacji dla instytucji rządowych. (Zobacz "Definicje", poniżej). Ponadto znajdziesz informacje o tym, jak zmieniają się wymagania dla urzędów certyfikacji dla instytucji rządowych.

Uwaga

Dodaj zakładkę do tej strony: https://aka.ms/auditreqs


Wymagania ogólne

Firma Microsoft wymaga, aby każdy urząd certyfikacji przesyłał dowody inspekcji kwalifikacyjnej na podstawie rocznej dla urzędu certyfikacji i wszelkiego nieo ograniczonego katalogu głównego w łańcuchu infrastruktury kluczy publicznych. Inspekcja kwalifikująca musi spełniać następujące pięć głównych wymagań:

  1. biegły audytor musi być zakwalifikowany,
  2. należy przeprowadzić inspekcję przy użyciu odpowiedniego zakresu,
  3. należy przeprowadzić inspekcję przy użyciu odpowiedniego standardu i
  4. należy przeprowadzić inspekcję, a pismo zaświadczania musi zostać wystawione w odpowiednim przedziale czasu, oraz
  5. audytor musi ukończyć i przesłać zaświadczanie kwalifikacyjne.

Obowiązkiem urzędu certyfikacji jest zapewnienie firmie Microsoft zaświadczania kwalifikacyjnego do wyników inspekcji oraz zgodności z wymaganiami inspekcji w odpowiednim czasie.

A. Kwalifikacje audytora

Firma Microsoft uważa, że audytor jest biegłym audytorem, jeśli jest niezależną osobą lub firmą, która jest certyfikowana do przeprowadzania kontroli urzędu certyfikacji przez jedno z tych trzech organów: (1) WebTrust, (2) równoważny urząd krajowy ETSI (opublikowany w https://aka.ms/ena) lub(3) w przypadku urzędu certyfikacji rządu samego rządu. (Aby uzyskać więcej informacji na temat urzędów certyfikacji dla instytucji rządowych, zobacz "Wymagania dotyczące urzędu certyfikacji dla instytucji rządowych" poniżej).

Jeśli urząd certyfikacji zdecyduje się uzyskać inspekcję sieci WebTrust, firma Microsoft wymaga urzędu certyfikacji do zachowania audytora z licencją WebTrust w celu przeprowadzenia inspekcji. Pełna lista audytorów z licencją WebTrust jest dostępna pod adresem https://aka.ms/webtrustauditors. Jeśli urząd certyfikacji zdecyduje się uzyskać inspekcję opartą na ETSI, firma Microsoft wymaga od urzędu certyfikacji zachowania autoryzowanej jednostki przez równoważny urząd krajowy (lub "ENAs"). Katalog dopuszczalnych umów ENA jest oparty na liście pod adresem https://aka.ms/ena. Jeśli urząd certyfikacji jest obsługiwany w kraju, który nie ma równoważnego urzędu krajowego ETSI, Firma Microsoft zaakceptuje audyt przeprowadzony przez audytora, który jest zakwalifikowany w ramach równoważnego organu krajowego w kraju ojczystym audytora.

B. Zakres inspekcji

Zakres inspekcji musi obejmować wszystkie katalogi główne, niewłączone podrzędne katalogi główne i katalogi główne z podpisem krzyżowym z podpisem krzyżowym, z wyjątkiem katalogów podrzędnych, które są ograniczone do zweryfikowanej domeny. Inspekcja musi również udokumentować pełną hierarchię infrastruktury kluczy publicznych. Ostateczne oświadczenia inspekcji muszą znajdować się w publicznie dostępnej lokalizacji i muszą zawierać daty rozpoczęcia i zakończenia okresu inspekcji. W przypadku inspekcji sieci WebTrust należy również znajdować się w lokalizacji dostępnej publicznie.

C. Oceny gotowości do punktu w czasie

Firma Microsoft wymaga inspekcji przed rozpoczęciem operacji komercyjnych. W przypadku komercyjnych urzędów certyfikacji, które nie działały jako wystawca certyfikatów przez 90 dni lub dłużej, firma Microsoft zaakceptuje inspekcję gotowości do punktu w czasie przeprowadzoną przez kwalifikowanego audytora. Jeśli urząd certyfikacji korzysta z inspekcji gotowości do punktu w czasie, firma Microsoft wymaga inspekcji kontrolnej w ciągu 90 dni od wydania pierwszego certyfikatu przez urząd certyfikacji. Komercyjny urząd certyfikacji już w naszym programie ubiegającym się o nowy katalog główny, który ma zostać uwzględniony, jest zwolniony z wymogu inspekcji punktu w czasie i okresu w czasie dla nowych katalogów głównych. Zamiast tego powinny być aktualne na temat inspekcji istniejących korzeni w programie.

D. Okres między oceną a zaświadczeniem audytora

Firma Microsoft wymaga, aby urząd certyfikacji uzyskał inspekcję zgodną co roku. Aby upewnić się, że firma Microsoft ma informacje, które dokładnie odzwierciedlają bieżące praktyki biznesowe urzędu certyfikacji, list zaświadczania wynikający z inspekcji musi być datowany i otrzymywany przez firmę Microsoft nie więcej niż 3 miesiące od daty zakończenia określonej w liście zaświadczania.

E. Zaświadczenie inspekcji

Firma Microsoft wymaga ukończenia każdego audytora i przesłania do firmy Microsoft zaświadczania kwalifikacyjnego. Zaświadczanie kwalifikacyjne wymaga, aby audytor uzupełnił list zaświadczania kwalifikacyjnego.

Firma Microsoft używa narzędzia do automatycznego analizowania listów inspekcji w celu zweryfikowania dokładności listu zaświadczania kwalifikacyjnego. To narzędzie znajduje się w bazie danych wspólnego urzędu certyfikacji (CCADB). Skontaktuj się z audytorem, aby upewnić się, że list kwalifikacyjny zaświadczania spełnia następujące wymagania. Jeśli list inspekcji zakończy się niepowodzeniem w dowolnej z tych kategorii, zostanie wysłana wiadomość e-mail z powrotem do urzędu certyfikacji z prośbą o zaktualizowanie listu inspekcji.

WSZYSTKIE CAS

  1. List rewizyjny musi być napisany w języku angielskim
  2. List inspekcji musi mieć format PDF z możliwością wyszukiwania tekstu.
  3. List rewizyjny musi mieć nazwę audytora w liście audytowym, jak zapisano w CCADB.
  4. List inspekcji musi zawierać odcisk palca SHA1 lub odcisk palca SHA256 inspekcji katalogów głównych.
  5. List inspekcji musi zawierać datę zapisu listu inspekcji.
  6. List inspekcji musi zawierać daty rozpoczęcia i zakończenia okresu, który został poddany inspekcji. Należy pamiętać, że nie jest to okres, w jaki audytor był na miejscu.
  7. List inspekcji musi zawierać pełną nazwę urzędu certyfikacji zarejestrowaną w CCADB.
  8. List inspekcji musi zawierać listę standardów inspekcji, które były używane podczas inspekcji. Zapoznaj się z wytycznymi WebTrust/ETSI lub https://aka.ms/auditreqs podaj pełną nazwę i wersję odwołanych standardów inspekcji.

Urzędy certyfikacji przesyłające inspekcje zaufania w sieci Web

  1. Inspekcje przeprowadzone przez certyfikowanych audytorów WebTrust muszą mieć ich listy inspekcji przekazane do https://cert.webtrust.orgprogramu .

Urzędy certyfikacji przesyłające audyty ETSI

  1. Audyty przeprowadzone przez certyfikowanych audytorów ETSI powinny mieć swoje listy kontrolne przekazane do strony internetowej audytora. Jeśli audytor nie publikuje na swojej stronie internetowej, urząd certyfikacji musi podać imię i nazwisko i adres e-mail audytora podczas składania listu kontrolnego. Przedstawiciel firmy Microsoft skontaktuje się z audytorem, aby zweryfikować autentyczność listu.
  2. Urzędy certyfikacji mogą przesyłać audyty z zasadami EN 319 411-2 lub 411-2.

F. Przesyłanie inspekcji

Aby przesłać inspekcje roczne, zapoznaj się z instrukcjami programu CCADB dotyczącymi tworzenia przypadku inspekcji znalezionego tutaj: https://ccadb.org/cas/updates.

Jeśli urząd certyfikacji stosuje się do magazynu głównego i nie znajduje się w programie CCADB, powinien wysłać wiadomość e-mail na msroot@microsoft.comadres .


Konwencjonalne standardy inspekcji urzędu certyfikacji

Program akceptuje dwa typy standardów inspekcji: WebTrust i ETSI. Dla każdego z jednostek EKU po lewej stronie firma Microsoft wymaga inspekcji zgodnej ze standardem oznaczonym.

A. Inspekcje zaufania w sieci Web

Firma Microsoft będzie teraz wymagać zasad i kryteriów usług zaufania sieci Web dla urzędów certyfikacji — podpisywanie kodu dla wszystkich oświadczeń inspekcji z okresami rozpoczynającymi się 1 stycznia 2018 r. lub później. Będzie to wymagane dla każdego urzędu certyfikacji z włączonym kluczem EKU podpisywania kodu dla ich katalogów głównych. Jeśli urząd certyfikacji ma włączony klucz EKU podpisywania kodu w katalogu głównym, ale nie aktywnie wystawia certyfikatów podpisywania kodu, może skontaktować się z msroot@microsoft.com ustawieniem stanu EKU na "NotBefore".

Kryteria Sieć WebTrust dla urzędu certyfikacji w wersji 2.1 Punkt odniesienia protokołu SSL z zabezpieczeniami sieci w wersji 2.3 Protokół SSL rozszerzonej weryfikacji w wersji 1.6.2 Rozszerzone podpisywanie kodu weryfikacji w wersji 1.4.1 Publicznie zaufane certyfikaty podpisywania kodu w wersji 1.0.1
Uwierzytelnianie serwera (inne niż EV) X X
Uwierzytelnianie serwera (inne niż EV) i tylko uwierzytelnianie klienta X X
Uwierzytelnianie serwera (EV) X X X
Uwierzytelnianie serwera (EV) i tylko uwierzytelnianie klienta X X X
Podpisywanie kodu EV X X
Podpisywanie kodu innego niż EV i sygnatura czasowa X X
Zabezpieczona wiadomość e-mail (S/MIME) X
Uwierzytelnianie klienta (bez uwierzytelniania serwera) X
Podpisywanie dokumentów X

B. inspekcje ETSI-Based

Uwaga 1: Jeśli urząd certyfikacji korzysta z inspekcji opartej na ETSI, musi przeprowadzić pełną inspekcję rocznie, a firma Microsoft nie zaakceptuje inspekcji nadzoru. Uwaga 2. Wszystkie oświadczenia inspekcji ETSI muszą być poddawane inspekcji pod kątem wymagań urzędu certyfikacji/forum przeglądarki i zgodności z tymi wymaganiami muszą być określone w liście inspekcji. AcAB'c [https://acab-c.com] dostarczył wskazówek, które spełniają wymagania firmy Microsoft.

Kryteria EN 319 411-1: zasady DVCP, OVCP lub PTC-BR EN 319 411-1: Zasady EVCP EN 319 411-2: Zasady QCP-w (oparte na EN 319 411-1, EVCP) EN 319 411-1: LCP, NCP, ZASADY NCP+ EN 319 411-2: QCP-n, QCP-n-qscd, QCP-l, QCP-l-qscd policies (na podstawie EN 319 411-1, NCP/NCP+)
Uwierzytelnianie serwera (inne niż EV) X
Uwierzytelnianie serwera (inne niż EV) i tylko uwierzytelnianie klienta X
Uwierzytelnianie serwera (EV) X
Uwierzytelnianie serwera (EV) i tylko uwierzytelnianie klienta X X
Podpisywanie kodu EV X X
Podpisywanie kodu innego niż EV i sygnatura czasowa X X
Zabezpieczona wiadomość e-mail (S/MIME) X X
Uwierzytelnianie klienta (bez uwierzytelniania serwera) X X
Podpisywanie dokumentów X X

Wymagania dotyczące urzędu certyfikacji dla instytucji rządowych

Urzędy certyfikacji dla instytucji rządowych mogą zdecydować się na uzyskanie powyższych inspekcji opartych na sieci Web lub ETSI wymaganych przez komercyjne urzędy certyfikacji lub korzystanie z równoważnej kontroli. Jeśli urząd certyfikacji dla instytucji rządowych zdecyduje się uzyskać inspekcję opartą na protokole WebTrust lub ETSI, firma Microsoft traktuje urząd certyfikacji dla instytucji rządowych jako komercyjny urząd certyfikacji. Urząd certyfikacji dla instytucji rządowych może następnie działać bez ograniczania certyfikatów, które wystawia.

A. Równoważne ograniczenia inspekcji

Jeśli urząd certyfikacji rządu zdecyduje się nie używać inspekcji WebTrust lub ETSI, może uzyskać równoważną inspekcję. W równoważnej inspekcji ("EA"), urząd certyfikacji dla instytucji rządowych wybiera osobę trzecią do przeprowadzenia inspekcji. Audyt ma dwa cele: (1), aby wykazać, że urząd certyfikacji rządu jest zgodny z lokalnymi przepisami i przepisami związanymi z operacją urzędu certyfikacji, oraz (2) w celu wykazania, że inspekcja jest znacząco zgodna z odpowiednim standardem WebTrust lub ETSI.

Jeśli urząd certyfikacji dla instytucji rządowych zdecyduje się uzyskać umowę EA, firma Microsoft ograniczy zakres certyfikatów, które może wystawiać urząd certyfikacji dla instytucji rządowych. Urzędy certyfikacji dla instytucji rządowych, które wystawiają certyfikaty uwierzytelniania serwera, muszą ograniczać certyfikaty główne do domen kontrolowanych przez instytucje rządowe. Instytucje rządowe muszą ograniczyć wystawianie innych certyfikatów do kodów krajów ISO3166, nad którymi kraj ma suwerenną kontrolę.

Urzędy certyfikacji dla instytucji rządowych muszą również zaakceptować i przyjąć odpowiednie wymagania podstawowe forum cab dla urzędów certyfikacji na podstawie typu certyfikatów głównych problemów. Jednak wymagania programu i wymagania inspekcji zastępują te wymagania w każdym aspekcie, w którym są w konflikcie.

Wszystkie urzędy certyfikacji dla instytucji rządowych wchodzące do programu będą objęte powyższymi wymaganiami umowy EA. Wszystkie urzędy certyfikacji dla instytucji rządowych, które są częścią programu przed 1 czerwca 2015 r., będą objęte powyższymi wymaganiami UMOWY EA natychmiast po wygaśnięciu ich bieżącej kontroli.

B. Zawartość równoważnego raportu inspekcji

Firma Microsoft wymaga, aby wszystkie urzędy certyfikacji dla instytucji rządowych, które przesyłają umowę EA, aby dostarczyć od audytora list zaświadczania, który:

  1. Potwierdza, że kontrola jest wystawiana przez niezależną agencję, która jest upoważniona przez rząd rządu rządu do przeprowadzania kontroli;
  2. Wymienia kryteria rządu urzędu certyfikacji rządu dotyczące kwalifikacji audytorów i potwierdza, że audytor spełnia te kryteria;
  3. Wymienia określone statuty, zasady i/lub regulacje, których audytor ocenił operacje urzędu certyfikacji rządu przeciwko;
  4. Potwierdza zgodność urzędu certyfikacji rządu z wymaganiami określonymi w nazwanych statutach, przepisach i/lub przepisach;
  5. Zawiera informacje opisujące, w jaki sposób wymogi ustawy są równoważne odpowiednim inspekcjom WebTrust lub ETSI;
  6. Wyświetla listę urzędów certyfikacji i podmiotów trzecich upoważnionych przez urząd certyfikacji dla instytucji rządowych do wystawiania certyfikatów w imieniu urzędu certyfikacji rządu w łańcuchu certyfikatów;
  7. Dokumentuje pełną hierarchię infrastruktury kluczy publicznych; I
  8. Zawiera datę rozpoczęcia i zakończenia okresu inspekcji.

Definicje

Urząd certyfikacji dla instytucji rządowych

"Urząd certyfikacji dla instytucji rządowych" to jednostka, która podpisuje umowę programową dla instytucji rządowych.

Komercyjny urząd certyfikacji

"Komercyjny urząd certyfikacji" to jednostka, która podpisuje umowę programową.

Urząd certyfikacji

"Urząd certyfikacji" lub "URZĄD certyfikacji" oznacza jednostkę, która wystawia certyfikaty cyfrowe zgodnie z lokalnymi przepisami i przepisami.

Lokalne przepisy ustawowe i wykonawcze

"Lokalne przepisy prawne i regulacje" oznaczają przepisy prawne i wykonawcze dotyczące urzędu certyfikacji, zgodnie z którym urząd certyfikacji jest upoważniony do wystawiania certyfikatów cyfrowych, które określają obowiązujące zasady, reguły i standardy wystawiania, utrzymywania lub odwoływania certyfikatów, w tym częstotliwości inspekcji i procedur.